作者Diana-Lynn Contesti(首席架构师、CISSP-ISSAP、ISSMP、CSSLP、SSCP)、John Martin(高级安全架构师、CISSP-ISSAP、CISM、Open Group认证架构师大师)和 Richard Nealon(高级安全顾问,CISSP-ISSMP,SSCP,SABSA SCF)
网络安全专业人员经常在巨大压力下做出艰难决策,这可能会对业务产生长期影响。随着时间的推移,这种压力会对网络安全专业人员造成心理负担,并有可能导致员工有 “职业倦怠 “以及长期的心理影响。
怎样才能防止员工的职业倦怠,我们如何支持我们的同事?随着安全漏洞变得司空见惯,这些问题在业界也越来越普遍。
最近ISC2社区的一名成员请求为可能患有创伤后应激障碍(PTSD)或甚至因事件而精疲力竭的网络安全人员提供一份指南、小册子或简单的帮助。多年来,该行业的许多人经历了可能会或可能不会对其福祉产生持久影响的事件;然而,几乎没有任何文字或记录。
您可能认为这不会发生在自己身上。我们只能希望,您不会遭遇泄露事件。根据最新的威瑞森数据泄露事件报告,61%的泄露事件影响到机密数据。您可能是负责了解发生的事情并计划纠正措施的人。最初,您和您的团队将对任何感知到的失败负责,并且可能已经感到士气低落。
与急救人员和军人一样,网络安全专业人士也会面临道德困境。安全人员可能被要求从事道德上具有挑战性、有压力甚至可能造成创伤的工作。
网络安全工作者还面临额外的压力去质疑在调查结束后他们的工作是否会被终止。一些国家已经制定了法律,要求使用外部调查承包商和事件强制报告,这可能会增加人们对失去工作的恐惧。最近,我们看到因安全事件解雇员工的组织越来越少,但这种可能性仍然是事件响应压力的一个因素。
我们想向那些可能面临网络事件而感到压力或挑战的人提供几句建议。示例可能包括(但不限于),未能阻止废水与饮用水混合,未能保持关键服务(水电、天然气、水)的运行,或在潜在冲突区进行监测。
在哪里可以减轻压力?
外部压力,如家庭生活,会在紧急情况下增加安全专业人员的压力。家庭承诺,加上活动期间需要的长时间(有时),可能导致个人的内部冲突。在这些情况下,我们建议分担工作量,让其他人来管理(在安全漏洞或灾难期间也是如此)。确保您的家人首先得到照顾。记住,如果您在家里遇到问题,这可能会分散您的注意力,使您在压力下无法做到最好。
在事件发生前,如果可能的话,一定要参加指定的培训课程和练习赛。为不可避免的事情做好准备。但是,请记住,我们不太可能为每一个事件制定计划,但这些过程将让您能够记录在实际活动中可能/可能不会采取的步骤。这一步将让您能够制定一个漏洞/事件响应计划。我们建议您向灾难恢复规划师学习,进行桌面演习(https://www.ready.gov/exercises)。
您可以通过事先了解应该听从谁的指示来减少压力–来自不同经理/主管的混合信息会造成不必要的压力。在事件发生之前,有一个明确的汇报记录可以节省时间,减少压力。我们建议创建一份文件,明确授权给负责协调事件的员工。这份文件需要被整个组织理解和接受(包括被中层和高层管理人员接受)。该文件中包括的内容应授权协调员根据需要调动/招聘员工,支出权力,批准加班的能力以及可能构成事件的内容。
现在我们已经讨论了在事件发生时可能产生压力的事项(失去工作、家庭责任、道德问题等),让我们来看看在事件发生时,可以做些什么来帮助减轻压力。
- 记录您所做的一切,与谁交谈,说了什么。
- 这是关键。在事情发生时记录下来(包括来自管理层的指示)可以在尘埃落定时减轻人们的一些压力。始终记录日期/时间和操作。确保您在条目上签名。在事件结束后的反馈会议上使用这些文件。
- 签署并遵守任何保密协议(NDA)。使用您的道德指南针。
- 要求您的员工或直接下属也记录所有内容。
- 当尘埃落定时,您将能够为所发生的一切制定一个路线图,并准确地指出哪些事情是正确的,以及可能出错的地方。事件结束后一定要有正式的反馈会议。
- 遵循你您的漏洞/事件响应协议,并注意任何需要变动的地方。
- 确保您在道德上或伦理上没有冲突。与良心抗争会给您的心理健康带来额外的压力,这可能会在事件结束后持续很长时间。
- 坚守原则,避免造成团队中不必要的紧张或冲突。
- 在团队中建立一种积极的不责备文化,保持客观但积极倾听。
- 了解自己的局限性,如果觉得自己无法完成一项胜任的工作,请寻求帮助或回避。
- 确保您有一个指定的发言人来处理公共关系(PR),让他们了解情况,但让他们做好自己的工作–防止其他人扰乱你的思维过程和决策能力。
- 不要让分心的事情妨碍你。
- 只允许授权的、需要的和约定的通信。
- 识别群体思维的迹象,不要陷入困境。
- 不要屈从于群体思维,在这种思维中,异常会变得正常化。
- 每天至少抽出一到两次时间来重新评估情况。
- 如果您的主管拍拍您的肩膀让您休息一下,就休息一下,不要忽视他们的建议。您可能需要轮班工作。
- 如果在这种情况下您有情绪,请站到一边,休息一下,重新评估您的参与和当下情况。
- 要明白您并不孤单。
- 找人倾诉,或者是为了寻求帮助,或者只是为了释放压力,但要注意您可能会被法律禁止披露。
- 与同龄人或人际网络中的其他人讨论这些情况也有帮助,因为它提供了一种情绪的释放,并有可能帮助找到补救措施。
- 当回到家时,不要孤立自己–与家人谈谈,让他们知道您的感受和所受到的影响。
- 这一步可以让您减压并获得家人和朋友的支持。
- 这也有助于家人/朋友理解为什么您的情绪可能不正常。
- 保持忙碌,积极,休息和吃东西,等等。
- 最初的反应可能是退缩或承诺在不休息的情况下解决问题。
- 通过确保饮食和休息来保持体力。
- 如果您有运动习惯,坚持下去。如果没有,去散散步让头脑清醒一下也无妨。带狗出去散步。
- 确保您能得到适当的不间断睡眠(可能有必要让自己离开可能被打扰的环境)。
- 如果您喜欢打盹,那就好好利用。
既然您已经照顾好了自己,那么您可以为您的员工或参与事件的其他人做些什么呢?
- 让员工记录他们所做的一切,并始终保持日志。
- 在事件发生期间使用安全通信,减少泄露给媒体和未经授权人员的可能性。工具的例子包括:加密信息的“信号”或“电报”。
- 远离毒品、酒精和其他形式的虚假快感。远离破坏性的影响者,如社交媒体,它通常是虚假的,用于刺激而不是帮助解决问题。
- 领导您的员工:
- 以身作则。
- 监督员工,观察他们是否倦怠。
- 确保他们可以休息。
- 确保他们可以饮食。
- 如果需要,把他们带到一边,与他们交谈,看看他们可能有什么感受。
- 必要时为他们进行干预。这意味着您可能需要阻止其他管理人员干预他们所分配的任务。
- 通过您能做到的任何方式支持他们。
- 最后,您的最后一步应该是向您的团队汇报,并创建一份最终报告。我们建议您执行以下操作:
- 召集所有参与者(让非参与者远离)。非参与者可能会把事情弄得一团糟,也可能会让一些人不诚实办事。
- 讨论发生了什么。
- 使用已经创建的笔记。
- 填补笔记中的空白。
- 必要时对要点进行澄清
- 讨论什么是对的,什么是错的,是的,会有一些事情是错的。
- 这应该包括事件的时间安排。
- 调用树(call tree)是否正确?
- 讨论他们的参与是否适当,或是否有人被遗漏。
- 为下一次使用这个方法(希望不会有),但它可以让你迅速将合适的球员安排到位。
- 如果您错过了某人,他们怎么可能帮助您?
- 讨论到底发生了什么。
- 泄露行为是什么?
- 哪些数据丢失了?
- 是否给组织带来了经济损失?
- 是否会造成名誉损失?
一旦您完成了汇报,请做以下工作:
- 休息一下吧。
- 将您的报告正式化。
- 收集您的想法。
- 记录您的发现。
- 记录建议。
- 与管理层会面(不包括参与者)。
- 发布一份正式报告。
一旦您与管理层会面并发布了最终报告,我们建议您需要一些休息时间来重新振作起来。奖励您的团队,即使只是咖啡和比萨,也要表示感谢。
这并不是一份详尽的清单,它只是一个示例的缩影,可以帮助您或您的员工在安全事件之前、期间和之后将压力/不安降到最低。
我们欢迎所有评论,希望这将有助于网络安全专业人员应对压力或创伤后应激障碍(PTSD)。